Seguridad de la información

GWC GLOBAL tiene como objetivo el conducir a las empresas hacia el uso de la nube, optimizando sus servicios IT mediante soluciones para múltiples sedes, comunicaciones unificadas y servicios de consultoría, con la misión principal de que la empresa se despreocupe por la disponibilidad de sus datos.

La información es para GWC y para las personas y sociedades que dependen de sus servicios, uno de sus activos más valiosos y un bien crítico sin el cual no podría desarrollar su actividad. GWC basa en gran medida la calidad de su gestión en la utilización de esta información de forma exacta, completa y obtenida a tiempo.

Por lo tanto, reconoce la gran importancia de las medidas de seguridad para lograr que la información no esté afectada por amenazas tales como errores, fraudes, malversaciones, sabotajes, extorsiones, espionaje industrial, violaciones de intimidad, interrupciones de servicio y desastres naturales. 

La Dirección de GWC reconoce su responsabilidad en desarrollar las directrices de seguridad que permitan minimizar los riesgos potenciales a los que se encuentra expuesta, para la consecución de los objetivos estratégicos del negocio y conseguir así asegurar la continuidad de los servicios que desempeña la Organización. 

El objetivo de esta Política de Seguridad de los Sistemas de Información y Continuidad del Negocio es definir las principales pautas que conduzcan a la formulación de procedimientos de Seguridad de los Sistemas de Información, para salvaguardar la información de acuerdo a lo comentado en el párrafo anterior y así poder asegurar el acceso a la información de los clientes. La Política Corporativa de Seguridad de los Sistemas de Información y Continuidad del Negocio se sustenta en los siguientes pilares claves para lograr la protección de la información de GWC.

  • La información de GWC y sus Sistemas de Información son activos críticos que deben ser protegidos para asegurar su funcionamiento.

  • La información de GWC debe ser protegida conforme a su susceptibilidad, valor y criticidad.

  • Todos los empleados y terceros colaboradores de GWC tienen la responsabilidad de proteger la información que se les ha confiado.

  • La protección de la información permite el desarrollo del negocio de GWC; las medidas de protección deben desarrollarse conforme a una evaluación del riesgo.

Los principios sobre seguridad de la información en torno a los cuales se construyen las medidas de Seguridad de los Sistemas de Información son los siguientes:

  • La información debe ser protegida durante todo su ciclo de vida, desde su creación o recepción hasta su procesamiento, comunicación, transporte, almacenamiento, difusión a terceros y su eventual destrucción.

  • GWC protegerá la información de la difusión o manipulación no autorizada o pérdida de la misma

  • Los terceros que puedan acceder a la información propiedad de GWC han de estar sometidos al control de los estándares definidos en cuanto a la seguridad de la información.

  • Cada empleado tiene la obligación y el deber de proteger adecuadamente la información, conforme a las clasificaciones y estándares de GWC.

La Política Corporativa de Seguridad de los Sistemas de Información y Continuidad del Negocio será aplicable a todos los trabajadores de GWC, sean o no empleados, incluyendo cualquier persona ajena a GWC que tenga acceso a la información gestionada o propiedad de la misma. La Política también será aplicable a toda la información en soporte digital y a los Sistemas de Información propiedad de GWC o gestionados para GWC.

La Política Corporativa de Seguridad de los Sistemas de Información y Continuidad del Negocio contempla la clasificación de los niveles de sensibilidad de la Información para garantizar los compromisos de control de confidencialidad, integridad y disponibilidad de la Información de una forma óptima. Esta política aboga por la clasificación de la información en función de los niveles de seguridad de la siguiente forma:

  • Confidencial: Que engloba la información de mayor sensibilidad para GWC, y que requiere de fuertes medidas para protegerla frente a difusiones (confidencialidad), modificaciones no autorizadas (integridad) y/o asegurar la continua accesibilidad a la misma (disponibilidad).

  • Interna: Que aplica a información menos sensible, que se pretende sea de uso interno de GWC, y que aunque su difusión no autorizada está en contra de esta política, no se espera de la misma un impacto negativo serio.

  • Pública: Que aplica a la información que ha sido explícitamente aprobada por la Dirección de GWC, para mostrarse al público.

Los requisitos de esta Política Corporativa de Seguridad y Continuidad del Negocio son los siguientes:

  • La Política Corporativa de GWC de los Sistemas de Información y Continuidad del Negocio, es aprobada por la Dirección de GWC.

  • Su contenido es de obligado cumplimiento para todo el personal de GWC y terceros subcontratados.

  • Las medidas correctoras propuestas vinculan a los responsables de llevarlas a la práctica.

  • La implantación y el cumplimiento de la Política Corporativa de Seguridad de los Sistemas de Información y Continuidad del Negocio debe ser verificada y comprobada con la periodicidad previamente establecida.

  • La Política Corporativa de Seguridad de los Sistemas de Información y Continuidad del Negocio es un documento vivo que se actualiza y modifica mediante el procedimiento que en la misma se establece. Asimismo, la Política ha de ser conocida por todos los miembros de la organización de GWC.

La Dirección de GWC consciente de que la información es un recurso de gran valor, ha establecido los mecanismos necesarios para proteger los recursos de información frente a amenazas, internas o externas, deliberadas o accidentales y asegurar la confidencialidad, integridad y disponibilidad de la información necesaria para la prestación de los servicios.

Para ello se ha establecido la presente política de seguridad basada en los siguientes principios:

  • La reducción de los riesgos de daños y la garantía de continuidad de los servicios.

  • Cumplimiento de la normativa aplicable en materia de seguridad de la información.

  • Asegurar la confidencialidad de los datos gestionados por GWC, principalmente aquellos propiedad de sus clientes o relativos a éstos.

  • Asegurar la disponibilidad de los sistemas de información, tanto en los servicios ofrecidos a los clientes como en la gestión interna.

  • Evitar alteraciones indebidas en la información

  • Asegurar la capacidad de respuesta ante situaciones de emergencia, restableciendo el funcionamiento de los servicios críticos en el menor tiempo posible.

Marco Normativo

El marco normativo en el que se desarrollan las actividades de GWC y, en particular, la prestación de sus servicios electrónicos a los ciudadanos, está integrado por las siguientes normas:

• Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y su modificación en el Real Decreto 951/2015, de 23 de octubre.

• Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.

• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos o RGPD).

• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales (LOPDGDD). 

• Ley 59/2003, de 19 de diciembre, de firma electrónica.

• Real Decreto 1553/2005, de 23 de diciembre, por el que se regula el documento nacional de identidad y sus certificados de firma electrónica.

• Resolución de 13 de julio de 2018, de la Dirección General de Telecomunicaciones y Sociedad de la Información, por la que se establecen normas sobre gestión de incidentes de seguridad TIC.

• Cualquier otra normativa de interés aplicables a la Administración Electrónica de GWC y/o derivadas de las anteriores y que puedan estar comprendidas dentro del ámbito de aplicación de esta Política de Seguridad, así como las referidas a la adopción de medidas para la protección de los activos TIC y de información que se rige, entre otras, por la siguiente normativa técnica:

  • Guías CCN-STIC y demás recomendaciones elaboradas por el Centro Criptológico Nacional.

  • La serie de normas ISO/IEC 27000, especialmente las normas ISO 27001 e ISO 27002.

Organización de la seguridad

El mantenimiento y gestión de la seguridad de la información en una entidad va íntimamente ligado al establecimiento de una organización de seguridad. Dicha organización se establece mediante la identificación y definición de las diferentes actividades y responsabilidades en materia de gestión de la seguridad y la implantación de una estructura que las soporte.

La estructura que se define en este documento diferencia 3 grandes bloques de responsabilidad: i) la especificación de las necesidades o requisitos en materia de seguridad de la información, ii) la función de supervisión de acuerdo al principio básico del ENS de “La seguridad como función diferenciada”. iii)  la operación del sistema de información que se atiene a dichos requisitos

Así, la especificación de requisitos de seguridad corresponderá a los responsables de la información y los servicios, junto con el responsable del fichero si hubiera datos de carácter personal. La supervisión corresponderá al responsable de la seguridad y la operación corresponderá al responsable del sistema (Guía de seguridad CCN-STIC-801)

La seguridad de la información implica prácticamente a todos los departamentos de GWC habida cuenta de que ha de estar presente en todos los ámbitos de su actividad y debe tener un carácter multidisciplinar, abarcando áreas como la informática y comunicaciones, gestión de personal y financiera, ejecución de proyectos, etc.

  • Nivel 1 – Órganos de Gobierno: alta dirección, que entiende la misión de la organización, determina los objetivos que se propone alcanzar y responde de que se alcancen.

  • Nivel 2 – Dirección Ejecutiva: gerencias, que entienden qué hace cada departamento y cómo los departamentos se coordinan entre sí para alcanzar los objetivos marcados por la Dirección.

  • Nivel 3: Operacional, que se centra en una actividad concreta y controla cómo se hacen las cosas.

El Responsable de la Información estará en el nivel 1.

El Responsable de la Seguridad estará en el nivel 2.

 El Responsable del Sistema estará en el nivel 3.

 El Responsable del Servicio, cuando sea diferente del Responsable de la Información, estará en el nivel 1 o en el nivel 2 dependiendo del organigrama de la organización.

Cuando exista un Comité de Seguridad Corporativa, estará en el nivel 1.

  1. Comité: Funciones y Responsabilidades.

1.1 Comité de Seguridad TIC de GWC

El Comité de Seguridad TIC de GWC es el órgano designado de dirección, coordinación y seguimiento en materia de seguridad de los activos TIC de su titularidad o cuya gestión tiene encomendada.

La composición, atribuciones, funcionamiento y método de trabajo del Comité de Seguridad TIC deberá ser aprobada por la Dirección GWC GLOBAL.

El Comité de Seguridad TIC estará formado por el responsable de la información del GWC, que ostentará el cargo de presidente del Comité de Seguridad TIC, por el responsable de seguridad TIC, que ocupará el cargo de secretario, por el responsable del sistema y por los propietarios de servicios de información del GWC. En la composición de este Comité ha de garantizarse, en la medida de lo posible, la representación paritaria de mujeres y hombres, conforme a lo establecido en el artículo 19.2 de la Ley 9/2007, de 22 de octubre.

El Comité de Seguridad TIC no es un comité técnico, pero recabará regularmente del personal técnico propio o externo, la información pertinente para tomar decisiones.

El Comité de Seguridad TIC se asesorará de los temas sobre los que tenga que decidir o emitir una opinión. Este asesoramiento se determinará en cada caso, pudiendo materializarse de diferentes formas y maneras:

  • Grupos de trabajo especializados internos, externos o mixtos.

  • Asesoría externa.

  • Asistencia a cursos u otro tipo de entornos formativos o de intercambio de experiencias

El Comité de Seguridad TIC del GWC tendrá las siguientes funciones:

  • Definición, aprobación y seguimiento de los objetivos, iniciativas y planes de seguridad TIC.

  • Proponer la aprobación del documento de Política de Seguridad.

  • Velar por la disponibilidad de los recursos necesarios para desarrollar las iniciativas y planes definidos.

  • Aprobar las propuestas de revisión del marco normativo de seguridad TIC del GWC que le eleven los responsables para su reglamentaria tramitación.

  • Establecimiento de directrices comunes y supervisión del cumplimiento de la normativa en materia de seguridad TIC en GWC.

  • Supervisar el nivel de riesgo y tomar las decisiones en la respuesta a incidentes de seguridad TIC que afecten a los activos TIC de GWC.

  • El Comité se reunirá al menos una vez al año.

  • Promover la mejora continua del sistema de gestión de la seguridad.

  • El Comité nombrará entre sus miembros un grupo de respuesta a incidentes TIC cuya función será la toma urgente de decisiones en caso de contingencia grave que afecte a la seguridad de sistemas de información críticos del GWC.

1.2 Roles: Funciones y Responsabilidades.

Responsable de la información

El Responsable de la Información es el director de GWC (Guía de seguridad CCN-STIC-801). Este cargo tiene la responsabilidad última del uso que se haga de una cierta información y, por tanto, de su protección. El Responsable de la Información es el responsable último de cualquier error o negligencia que lleve a un incidente de confidencialidad o de integridad.

El Responsable de la Información tiene la potestad de establecer los requisitos de la información en materia de seguridad. O, en terminología del ENS, la potestad de determinar los niveles de seguridad de la información.

El Responsable de la Información puede delegar sus funciones en el Comité de Seguridad TIC de GWC.

Aunque la aprobación formal de los niveles corresponda al Responsable de la Información, se puede recabar una propuesta al Responsable de la Seguridad y conviene que se escuche la opinión del Responsable del Sistema.

La determinación de los niveles de seguridad en cada dimensión de seguridad debe realizarse dentro del marco establecido en el Anexo I del Esquema Nacional de Seguridad.

Responsable del Servicio.

El ENS asigna al ‘Responsable del Servicio’ la potestad de establecer los requisitos del servicio en materia de seguridad. O, en terminología del ENS, la potestad de determinar los niveles de seguridad de los servicios bajo su responsabilidad.

La prestación de un servicio siempre debe atender a los requisitos de seguridad de la información que maneja , y suele añadir requisitos de disponibilidad, así como otros como accesibilidad, interoperabilidad, etc.

Responsable de Seguridad

En GWC deberá existir una persona, garantizando el principio de función diferenciada recogido en el artículo 10 del Esquema Nacional de Seguridad (la responsabilidad de la seguridad de los sistemas de tecnologías de la información y comunicaciones estará diferenciada de la responsabilidad sobre la prestación de los servicios), que ejerza las funciones de responsable de seguridad TIC de la entidad, debiendo ser nombrada por el Comité de Seguridad TIC de GWC.

La persona responsable de seguridad tendrá las siguientes funciones:

  • Definición y seguimiento de las actuaciones relacionadas con la seguridad TIC de los activos de información de GWC y la gestión del riesgo.

  • Asesoramiento y soporte al Comité de Seguridad TIC.

  • Coordinación en materias de seguridad TIC en el GWC.

  • Desarrollo y seguimiento de programas de formación y concienciación.

  • Asunción de las funciones incluidas en los artículos 10, 27.3, 34.6, Anexo II (apartado 2.3) y Anexo III (apartados 2.1.b y 2.2.b) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

  • Prepara los temas a tratar en las reuniones del Comité de Seguridad TIC, aportando información puntual para la toma de decisiones.

  • Convoca y elabora el acta de las reuniones.

  • Es responsable de la ejecución directa o delegada de las decisiones del Comité.

Responsable del Sistema

Persona designada por la Dirección. La persona designada figurará en la documentación de seguridad del sistema de información.

Responsabilidades:

  • Desarrollar, operar y mantener el Sistema de Información durante todo su ciclo de vida, de sus especificaciones, instalación y verificación de su correcto funcionamiento.

  • Definir la topología y sistema de gestión del Sistema de Información estableciendo los criterios de uso y los servicios disponibles en el mismo.

  • Cerciorarse de que las medidas específicas de seguridad se integren adecuadamente dentro del marco general de seguridad.

  • El Responsable del Sistema puede acordar la suspensión del manejo de una cierta información o la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que pudieran afectar a la satisfacción de los requisitos establecidos. Esta decisión debe ser acordada con los responsables de la información afectada, del servicio afectado y el Responsable de la Seguridad, antes de ser ejecutada.

GWC, habilitará los medios necesarios para divulgar a todos sus empleados y personal subcontratado los procedimientos diseñados para favorecer las buenas prácticas en materia de seguridad de la información. En este sentido se considera un objetivo estratégico de GWC, el mantenimiento de un alto nivel de concienciación respecto a la importancia de la función de seguridad. En consecuencia, GWC, considera todas la normativa interna creadas a dichos efectos, como vinculantes para todo el personal laboral y subcontratado, por lo que se deberá observar un riguroso cumplimiento de las mismas.

Finalmente, la Dirección de GWC se compromete a implementar las medidas a su alcance para lograr la mejora continua del Sistema de Gestión de Seguridad de la Información, con objeto de disponer de controles de seguridad cada vez más efectivos.

Sevilla, 01/07/2021

La Dirección